Usługi walidacji podpisów a Autenti

Na rynku dostępnych jest kilka sposobów weryfikacji podpisów i pieczęci elektronicznych. Postanowiliśmy sprawdzić, jakie przynoszą rezultaty w kontekście weryfikacji podpisów elektronicznych składanych za pomocą platformy Autenti. W tym artykule wzięliśmy pod lupę publicznie dostępną usługę “WERYFIKACJA PODPISU”

Weryfikacja podpisu elektronicznego a Autenti - wprowadzenie

W teście użyliśmy dokumentu podpisanego na platformie Autenti, który zawierał zarówno zwykły podpis elektroniczny, jak i podpis kwalifikowany. Warto w tym miejscu zaznaczyć, że dokumenty Autenti poza podpisami elektronicznymi zawierają także pieczęci elektroniczne - otwierającą i końcową. Te z kolei zabezpieczają autentyczność i integralność dokumentu zarówno przed, jak i po jego podpisaniu. Dokumenty podpisane na platformie Autenti zawierają dodatkową stronę - “Kartę Podpisów”, na której zwizualizowane są wszystkie podpisy i pieczęci złożone w procesie sygnowania. 

Weryfikacja podpisu elektronicznego - jak wygląda proces?

Aby skorzystać z usługi weryfikacji podpisu elektronicznego we wspomnianym wyżej serwisie, należy wskazać podpisany dokument lub przeciągnąć go na okno weryfikacji, a następnie użyć przycisku “Weryfikuj”.

Wynik weryfikacji podpisu elektronicznego zostanie przedstawiony po kilku chwilach i (w naszym przypadku) wygląda następująco: 

Wskazuje on prawidłowość wszystkich podpisów i pieczęci zawartych w dokumencie. Omówimy je osobno w dalszej części artykułu. 

Dodatkowo każde pole weryfikacji jest przedstawione jak na poniższej ilustracji:

Warto też wskazać, że dokumenty podpisane na platformie Autenti zawierają następujące pola nazywane “Rewizjami”:

• jedno pole dla pieczęci otwierającej,
• jedno pole dla każdego podpisu elektronicznego lub kwalifikowanego podpisu elektronicznego,
• jedno pole dla pieczęci końcowej, 
• jedno pole dla znacznika czasu - przy czym znacznik czasu nie jest wizualizowany ani wyświetlany w procesie walidacji podpisów. Z tego powodu dokument zawierający 2 podpisy Autenti będzie miał 5, a nie 4 pola rewizji.

Pola weryfikacji podpisu elektronicznego - co oznaczają?

W tym miejscu warto wyjaśnić, co oznaczają poszczególne pola weryfikacji podpisu elektronicznego.

• Pieczęć otwierająca Autenti

Pieczęć otwierająca to zaawansowana pieczęć elektroniczna oparta o kwalifikowany certyfikat. Zapewnia ona integralność oraz autentyczność dokumentu, który został wysłany do podpisu elektronicznego. Każda pieczęć i każdy podpis są zaprezentowane w warstwie wizualnej na Karcie Podpisów - pieczęć otwierająca jako pierwsza. Informuje ona o osobie (lub podmiocie), która wysłała dokument do podpisu oraz zabezpiecza integralność dokumentu przed rozpoczęciem procesu podpisywania. Pieczęć otwierająca zawiera dodatkowo informację o dacie i godzinie rozpoczęcia procesu podpisywania dokumentu.

• Kwalifikowany Podpis Elektroniczny 

Kwalifikowane podpisy elektroniczne na platformie Autenti są składane w formacie zgodnym ze standardem PAdES i w oparciu o kwalifikowany certyfikat podpisu elektronicznego. Pole walidacji wskazuje konkretnego podpisującego na podstawie jego kwalifikowanego certyfikatu. 

Kwalifikowany podpis elektroniczny zawiera: 

• informacje o osobie podpisującej, które pochodzą z certyfikatu podpisującego,
• wskazanie, że jest to kwalifikowany podpis elektroniczny,
• numer seryjny umieszczony w certyfikacie podpisującego - w szczególności może być to numer PESEL, numer dowodu osobistego lub numer paszportu. 

Kwalifikowany podpis elektroniczny zawiera Europejski Znak Zaufania, który może być - zgodnie z prawem UE - stosowany jedynie w stosunku do kwalifikowanych usług zaufania. 

• Pieczęć Autenti potwierdzająca złożenie zwykłego podpisu elektronicznego

Pieczęciami elektronicznymi Autenti zabezpieczone są także zwykłe podpisy elektroniczne. Platforma Autenti po każdym złożeniu podpisu przez podpisującego, dołącza do dokumentu: 

• dane podpisującego, 
• informację w jaki sposób podpisujący został zweryfikowany, 
• datę podpisania.

Wszystkie wymienione dane są dostępne na Karcie Podpisów, tak, jak zaprezentowano poniżej.

Ilustracja 1 - podpis elektroniczny Autenti osoby uwierzytelnionej za pomocą adresu e-mail, bez wskazania organizacji podpisującego, a więc pozostającej najczęściej z nadawcą w relacji konsumenckiej. Pole to zawiera imię i nazwisko podpisującego oraz jego adres e-mail, za pomocą którego nastąpiło uwierzytelnienie. 

Ilustracja 2 - podpis elektroniczny Autenti, gdzie podpisujący został zweryfikowany zarówno e-mailem, jak i SMS-em. Podpis ten zawiera adres e-mail i numer telefonu osoby podpisującej, pod który platforma Autenti wysłała SMS-em jednorazowy kod OTP (“one-time password”).  Służy to do dodatkowej weryfikacji podpisującego. 

Ilustracja 3 - podpis elektroniczny Autenti, gdzie podpisujący został zweryfikowany zarówno mailem, jak i SMS-em. Podpisujący reprezentuje w tym przypadku również swoją organizację, a jej dane zostały ujawnione w podpisie. Są to: nazwa firmy, numer NIP oraz rola (funkcja), jaką podpisujący pełni w organizacji. 

Uwaga: Dane organizacji są danymi deklarowanymi - nie podlegają weryfikacji przez Autenti. Platforma umożliwia wysyłanie dokumentów do przedstawicieli biznesu (najczęściej kontrahentów, partnerów biznesowych), bez konieczności dodatkowego uwierzytelnienia w oparciu o kod SMS, o ile podpisujący znani są już wcześniej nadawcy. Jeśli reprezentacja firmy podpisującej składa się z dwóch lub więcej osób, każda z nich musi zostać odrębnie wskazana na platformie i przypisana do firmy o tych samych danych (nazwa, NIP).  

Każdy niekwalifikowany podpis elektroniczny złożony na Platformie jest zabezpieczony pieczęcią elektroniczną Autenti. 

• Pieczęć końcowa Autenti

Pieczęć końcowa potwierdza złożenie wszystkich podpisów na platformie Autenti oraz zabezpiecza integralność dokumentu. Potwierdza ona, że proces podpisywania został zrealizowany za pomocą platformy Autenti, a także zabezpiecza autentyczność i integralność dokumentu. Dodatkowo pieczęć końcowa zawiera informację o dacie i godzinie zakończenia procesu podpisywania dokumentu na platformie Autenti.

Jeżeli dokument został zmanipulowany, a jego integralność naruszona, to aplikacja do weryfikacji podpisów pokaże całość w następujący sposób:

Poszczególne pola podpisów powinny wskazywać powód błędnej weryfikacji, jakim jest manipulacja treści podpisanego dokumentu, według przykładu przedstawionego na poniższej ilustracji.

Polecamy też artykuł: Weryfikowanie dokumentu podpisanego w Autenti za pomocą Adobe Acrobat >>>